Cr

[ADN182]

Salut Lali,

je viens de modifier mon Tuto en conséquence, il est donc possible de faire du Multi domaine avec ce certificat. Même de faire en sorte que celui-ci soit Green avec un adresse IP Privé ou Publique.

en gros la syntaxe ressemble à ça :

0.commonName = "6. Common Name (eg, FQDN) "

0.commonName_max = 64

0.commonName_default = societe.dyndns.org

1.commonName = "7. Common Name (eg, FQDN) "

1.commonName_max = 64

1.commonName_default = company.nomdedomaine.com

2.commonName = "8. Common Name (eg, FQDN) "

2.commonName_max = 64

2.commonName_default = 192.168.0.250

3.commonName = "9. Common Name (eg, FQDN) "

3.commonName_max = 64

3.commonName_default = 81.81.81.81

Je te laisse revoir le Tuto j'ai rajouter cette "Fonction" dedans.

Petit clin d'oeil à MasterDav qui va pouvoir contourner son problème de nom NetBios avec les adresses ip privé à indiqué dans le CommonName_Default à la place du nom FQDN.

Modifié le 25 août 2012 par ADN182

[lali]

Alors grand merci, et quel rapidité surtout !

[lali]

0.commonName					  = "6. Common Name			  (eg, FQDN)	 "

0.commonName_max				  = 64

0.commonName_default			  = xxxxx.synology.me

1.commonName				   = "7. Common Name			  (eg, FQDN)	 "

1.commonName_max			   = 64

1.commonName_default		   = 192.168.1.14

emailAddress				    = "7. Email Address		    (eg, name@fqdn)"

emailAddress_max			    = 40

J'ai remplis comme ceci, et mon nas et devenue inaccessible par https, un idée du problème ?

[ADN182]

0.commonName					 = "6. Common Name			 (eg, FQDN)	 "

0.commonName_max				 = 64

0.commonName_default			 = xxxxx.synology.me

1.commonName				 = "7. Common Name			 (eg, FQDN)	 "

1.commonName_max			 = 64

1.commonName_default		 = 192.168.1.14

emailAddress				 = "7. Email Address		 (eg, name@fqdn)"

emailAddress_max			 = 40

J'ai remplis comme ceci, et mon nas et devenue inaccessible par https, un idée du problème ?

Oui Lali avez-tu déjà générer un certificat avant de faire le multi-domaine ? Si c'est le cas alors il faut enlever le 1er certificat créer dans ton PC pour cela fait comme ceux-ci :

Pour ce faire dans le Windows ou tu as installé le certificat va dans : "Démarrer/Executer" (Raccourcis Clavier : Touche Windows +R) tape "mmc" Entrer

Dans la fenêtre qui s'ouvre tu vas dans "Fichier/Ajout Suppression d'un composant logiciel enfichable..." (Raccourcis Clavier : CTRL + m)

Ensuite clique sur "Certificats puis Ajouter" et tu sélectionne "Mon compte utilisateur" clique sur "ok" et regarde si ton certificat se trouve bien dans "Autorités de certification racines de confiance" et supprime le.

Effectivement MasterDav les lignes 69-75 et 168-174 sont les plus importantes, je fait le nécessaire pour indiquer de bien les modifier (pas faute d'avoir mis des dièses devant ). Je préfère quand même modifier les lignes de la requête de certificat qui sont quand même placer en paramètre lors de la génération du certificat. Il est vrai que juste en modifiant les commonName_default cela suffit à être green, les infos mise par synology convienne trés bien, c'est juste pour faire quelque chose de plus personnaliser (Je modifier le Tuto pour l'indiquer )

Merci de ton retour MasterDav ça va permettre d'améliorer le Tuto.

[lali]

AH, j'avais oublier les ligne 171 a 178 (les adresses)

Cela fontionne parfaitement, merci

Modifié le 26 août 2012 par lali

[ADN182]

Nickel Lali !

J'ai modifier le Tuto afin d'éviter que d'autre ai le même problème

Si jamais vous voyez des partie du Tuto qui son flou, peu clair, n'hésitez pas à m'en faire part (ici ou pas MP) ! Le but étant qui soit le plus clair possible, et facile à mettre en oeuvre.

[lali]

Je ne crois pas que tu pourra faire plus clair, bon boulot !

[DanyTheDog]

Bonsoir,

J'ai un petit soucis avec la création du certificat en multi-domaine... Lorsque je suis le tutorial avec IE cela fonctionne très bien, mais dans FireFox... Malgré l'ajout du certificat dans les autorités de certification il ne prend que le dernier FQDN en compte et les autres passent à la trappe...

Une idée ???

[damien599901]

Bonsoir

questions relatives au "multi domaine" :

si modification des lignes avec ajout des 0, 1 etc. y a t il lieu de modifier les lignes plus haut dans le même fichier ?

81.81.81.81 correspond bien à l'adresse ip distante de la box ?

y a t il un ordre à respecter ? (ex : domaine / DDNS / IP distante / IP locale etc.)

merci d'avance pour les réponses

[ADN182]

Bonsoir,

J'ai un petit soucis avec la création du certificat en multi-domaine... Lorsque je suis le tutorial avec IE cela fonctionne très bien, mais dans FireFox... Malgré l'ajout du certificat dans les autorités de certification il ne prend que le dernier FQDN en compte et les autres passent à la trappe...

Une idée ???

Bonsoir DanyTheDog,

Effectivement je vient de faire un test avec Firefox (J'utilise Chrome, qui s'appuie sur la base de certificat interne au PC tout comme IE) et il prend en compte uniquement le dernier Champs CN (Nom de domaine, adresse IP...) malheureusement j'ai pas trouvé de solution à ce problème :s d'ailleurs sous Firefox Il faut importer le certificat dans la partie Options/Avancés/Chiffrement.

Bonsoir

questions relatives au "multi domaine" :

si modification des lignes avec ajout des 0, 1 etc. y a t il lieu de modifier les lignes plus haut dans le même fichier ?

81.81.81.81 correspond bien à l'adresse ip distante de la box ?

y a t il un ordre à respecter ? (ex : domaine / DDNS / IP distante / IP locale etc.)

merci d'avance pour les réponses

Bonsoir Damien,

Je ne vois pas vraiment de quelles lignes tu veux parler mais si tu ajoute des nom de domaine, adresse ip... tu dois ajouter les lignes 157 à 168 et 183 à 186.

Oui le 81.81.81.81 est bien la représentation de l'adresse ip publique que te fournie ton FAI

Il n'y à pas d'ordre à respecter hormis si tu utilise Firefox qui ne prend que le dernier "nom de domaine" (Adresse IP...) que tu as mis.

[damien599901]

merci pour ta réponse

mais le certificat n'est pas pris par le trousseau d'accès du mac et j'ai une discordance de nom d'hôte si je suis le tuto sur le multi domaine.

si je m'en tiens à un seul domaine là par contre pas de problème...

[Thierry94]

Bonsoir,

Merci ADN182 pour ce super tuto qui m'a permis de me débarrasser des alertes à la connexion

J'ai quand même un peu galéré sur la fin, car cela ne fonctionnait pas ...je n'avais tout simplement pas redémarré le Syno !

Une petite indication de cette nécessité à la fin du tuto pourrait être utile.

A+

Thierry

[fm76]

Bonjour ADN182,

merci pour ce super tuto qui m'a permis de me débarrasser des alertes à la connexion.

Tout à fonctionner du premier coup parfaitement. Plus d'alerte de certificat avec IE, Chrome et FireFox

Une petite remarque, coté Windows: il est préférable de réaliser l'étape d’importation du certificat avec mmc.exe plutôt qu'en double cliquant directement sur le CA.cer.

En effet avec l'import via mmc on peut sélectionner "le compte d'ordinateur" afin que le certificat soit valable pour tous les utilisateurs du PC Windows alors que avec la double clique le certificat s'installe dans le profil de l’utilisateur actuellement connecté et il n'est donc pas valable pour les autres utilisateurs partageant le même PC.

[Sim27]

bonjour,

J'ai un problème, des que je fait une commande sur putty j'ai ce message qui s'affiche: Permission denied pourtant je suis connecter en root

[ADN182]

Bonsoir,

Merci ADN182 pour ce super tuto qui m'a permis de me débarrasser des alertes à la connexion

J'ai quand même un peu galéré sur la fin, car cela ne fonctionnait pas ...je n'avais tout simplement pas redémarré le Syno !

Une petite indication de cette nécessité à la fin du tuto pourrait être utile.

A+

Thierry

Ok c'est fait Thierry

Bonjour ADN182,

merci pour ce super tuto qui m'a permis de me débarrasser des alertes à la connexion.

Tout à fonctionner du premier coup parfaitement. Plus d'alerte de certificat avec IE, Chrome et FireFox

Une petite remarque, coté Windows: il est préférable de réaliser l'étape d’importation du certificat avec mmc.exe plutôt qu'en double cliquant directement sur le CA.cer.

En effet avec l'import via mmc on peut sélectionner "le compte d'ordinateur" afin que le certificat soit valable pour tous les utilisateurs du PC Windows alors que avec la double clique le certificat s'installe dans le profil de l’utilisateur actuellement connecté et il n'est donc pas valable pour les autres utilisateurs partageant le même PC.

J'ai mieux encore que d'ouvrir la mmc.exe c'est lors de l'importation vous pouvez choisir le magasin en cochant la case "Afficher les magasins Physiques".

bonjour,

J'ai un problème, des que je fait une commande sur putty j'ai ce message qui s'affiche: Permission denied pourtant je suis connecter en root

Tu est connecter en root avec le mot de passe admin de ton Syno ?

Modifié le 25 septembre 2012 par ADN182

[kaza7]

merci, marche impecc pour moi pour tous les navigateurs.

[Lapin]

Merci à toi ADN182 pour ce super tuto.

Je l'ai suivi à la lettre et j'ai enfin le certificat green sur mes Win7.

[Lapin]

Au faite une petite remarque concernant ton tuto:

Dans le cas où l'on accède aux fichiers par Samba (genre depuis un PC lambda), mais que l'on n'est PAS connecté en tant qu'admin par Samba alors il faut faire les manips suivantes sinon cela ne fonctionne pas. Je pense que c'est le problème qu'a rencontré Sim27!

D'ailleurs j'ai eu aussi le problème car je n'utilise le login admin/root que quand c'est nécessaire (cela évite de faire des catastrophes... )

Après copie du script

cp /usr/syno/etc.defaults/ssl/mkcert.sh /volume1/certificat

Il faut faire un chmod

chmod 777 /volume1/certificat/mkcert.sh[/code]


Sinon on ne peut pas éditer/sauvegarder le script avec Notepad++



Pareil à la fin, après la commande suivante

[code] cp /usr/syno/etc/ssl/ssl.crt/ca.crt /volume1/certificat[/code]

Il faut faire:

[CODE]chmod 666 /volume1/certificat/ca.crt[/code]

Sinon la fenêtre d'importation de certificat sous Windows ne va pas s'ouvrir.

Modifié le 14 octobre 2012 par Lapin

[bjp]

je galère et je n'arrive pas à voir "du vert" en local

et pourtant j'ai suivi à la ligne le tuto

Plus aucun accès par Firefox également

Dans chrome, la connexion est bien sécurisée, mais le https est barré et il m'indique: "le certificat du serveur ne correspond pas à L'URL"

Dans Firefox, c'est simple plus d'accès du tout en https: "Échec de la connexion sécurisée, Type de certificat non approuvé pour l'application.

(Code d'erreur : sec_error_inadequate_cert_type)"

Dans IE, "Le certificat de ce site présente un problème" Le certificat de sécurité présenté par ce site Web a été émis pour une autre adresse de site Web."

peut être quelqu'un pour vérifier mon "mkcert.sh"..??

merci d'avance

[Lapin]

Tu es connecté en local ou par internet ??

Si tu es en local (genre 192.168.xxx) il faut correctement faire la section MultiDomaine (Falcultatif) + IPpublique + IP Privé

Genre:

Lignes

157 0.commonName = "6. Common Name (eg, FQDN) "

158 0.commonName_max = 64

159 0.commonName_default = societe.dyndns.org

160 1.commonName = "7. Common Name (eg, FQDN) "

161 1.commonName_max = 64

162 1.commonName_default = 192.168.1.250

163 emailAddress = "8. Email Address (eg, name@fqdn)"

Sans oublier d'aussi modifier les lignes

174 $openssl req -config /tmp/.mkcert.cfg -new

175 -key $sslkeydir/server.key

176 -out $sslcsrdir/server.csr <<EOT

177 FR

178 Nord

179 Lille

180 Societe

181

182 societe.dyndns.org

183 192.168.1.250

184 toto@toto.fr

185 EOT

Modifié le 15 octobre 2012 par Lapin

[bjp]

Tu es connecté en local ou par internet ??

Si tu es en local (genre 192.168.xxx) il faut correctement faire la section MultiDomaine (Falcultatif) + IPpublique + IP Privé

Genre:

Lignes

157 0.commonName = "6. Common Name (eg, FQDN) "

158 0.commonName_max = 64

159 0.commonName_default = societe.dyndns.org

160 1.commonName = "7. Common Name (eg, FQDN) "

161 1.commonName_max = 64

162 1.commonName_default = 192.168.1.250

163 emailAddress = "8. Email Address (eg, name@fqdn)"

Sans oublier d'aussi modifier les lignes

174 $openssl req -config /tmp/.mkcert.cfg -new

175 -key $sslkeydir/server.key

176 -out $sslcsrdir/server.csr <<EOT

177 FR

178 Nord

179 Lille

180 Societe

181

182 societe.dyndns.org

183 192.168.1.250

184 toto@toto.fr

185 EOT

merci, mais je viens de vérifier, à priori, je suis bon

je comprends plus

la, je me connecte en local et j'ai bien rajouter en plus du domaine, la ligne IP du syno

j'ai louper "quelque chose"..je vois pas et je craque!!

[ADN182]

Salut bjp,

Pourrais-tu m'envoyer ton mkcert.sh en mp (en modifiant les lignes de tes noms de domaines et de ton ip publique) ?

As-tu modifier plusieurs fois le certificats ? en l'intégrant plusieurs fois dans windows ? si c'est le cas, supprime les certificat présent grâce à l'étape 5 est relance le mkcert.sh puis l'import dans windows.

Modifié le 15 octobre 2012 par ADN182

[ADN182]

Au faite une petite remarque concernant ton tuto:

Dans le cas où l'on accède aux fichiers par Samba (genre depuis un PC lambda), mais que l'on n'est PAS connecté en tant qu'admin par Samba alors il faut faire les manips suivantes sinon cela ne fonctionne pas. Je pense que c'est le problème qu'a rencontré Sim27!

D'ailleurs j'ai eu aussi le problème car je n'utilise le login admin/root que quand c'est nécessaire (cela évite de faire des catastrophes... )

Après copie du script

cp /usr/syno/etc.defaults/ssl/mkcert.sh /volume1/certificat

Il faut faire un chmod

chmod 777 /volume1/certificat/mkcert.sh[/code]


Sinon on ne peut pas éditer/sauvegarder le script avec Notepad++



Pareil à la fin, après la commande suivante

[code] cp /usr/syno/etc/ssl/ssl.crt/ca.crt /volume1/certificat[/code]

Il faut faire:

[CODE]chmod 666 /volume1/certificat/ca.crt[/code]

Sinon la fenêtre d'importation de certificat sous Windows ne va pas s'ouvrir.

Bien vu Lapin j'intègre ça dans le tuto. Je t'avouerai que je suis tout le temps en admin, donc je suis pas tombé sur le problème et je n'y ai même pas pensé.

Modifié le 15 octobre 2012 par ADN182

[bjp]

Salut bjp,

Pourrais-tu m'envoyer ton mkcert.sh en mp (en modifiant les lignes de tes noms de domaines et de ton ip publique) ?

As-tu modifier plusieurs fois le certificats ? en l'intégrant plusieurs fois dans windows ? si c'est le cas, supprime les certificat présent grâce à l'étape 5 est relance le mkcert.sh puis l'import dans windows.

merci de bien vouloir m'aider

1- comment te joindre mon mkcert.sh en mp?? (je ne peux pas attacher de fichier à mon message)

2- j'ai bien modifier le certificat (tu t'en doutes!) et je supprime systématiquement à chaque modif le certificat dans la console avant de relancer par contre depuis tout a l'heure dans la console, je le supprime et chaque fois il reviens...!

3- Dans le panneau de config du syno, quand je met en place le https, quelle est la clé privé à importer: le ca.key ou server.key

[Lapin]

merci de bien vouloir m'aider

1- comment te joindre mon mkcert.sh en mp?? (je ne peux pas attacher de fichier à mon message)

2- j'ai bien modifier le certificat (tu t'en doutes!) et je supprime systématiquement à chaque modif le certificat dans la console avant de relancer par contre depuis tout a l'heure dans la console, je le supprime et chaque fois il reviens...!

3- Dans le panneau de config du syno, quand je met en place le https, quelle est la clé privé à importer: le ca.key ou server.key

Tu peux télécharger ce modèle:

Puis tu remplaces (find & replace all) xxx.homedns.org par ton nom de domaine et 192.168.1.10 par l'IP fixe de ton NAS en local.

Tu peux aussi, si tu le veux, remplacer Region, Ville, Geeks, DontCare, et toto@gmail.com par le noms apropriés.

Modifié le 15 octobre 2012 par Lapin